Virus: Yarner arriva dalla Germania

Arriva dalla germania e si chiama Yarner. Si tratta di un nuovo worm di posta elettronica che ha cominciato a diffondersi in queste ore

Symbolic riporta le seguenti informazioni su un nuovo virus denominato Yarner. La sua comparsa in the wild è in data odierna. Yarner e' un worm di posta elettronica la cui scoperta è datata 19 febbraio 2002 e ha origine in Germania. Il suo codice e' contenuto in un eseguibile in formato PE di 437 Kb, scritto in Delphi e non compresso.

Al momento in cui parte l'esecuzione, il worm si installa nel sistema; crea una copia di se stesso con un nome casuale (es. 'sdShdaaLEKJkasjhe.exe') all'interno della cartella Windows e crea una chiave nel Registro di configurazione per accertarsi di venire attivato al boot del sistema:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

Il nome della chiave e' casuale e il suo valore contiene il percorso del file del worm. Nello stesso percorso viene poi creata una copia del file col nome NOTEPAD.EXE, mentre l'applicazione originale del Blocco Note viene rinominata in NOTEDPAD.EXE.

Yarner ricerca sul disco fisso i file con estensione *.PHP, *.HTM, *.SHTM, *.CGI e *.PL e controlla se contengono indirizzi e-mail. Allo stesso scopo, analizza la rubrica di Outlook. Una volta trovati, gli indirizzi e i nomi di alcuni server SMTP predefiniti (contenuti nel codice di Yarner) vengono salvati nei file KERNEI32.DAA e KERNEI32.DAS nella directory Windows.

Il nome del server SMTP di default viene ricavato dai dati dell'Internet Account Manager nel Registro; tramite questo, vengono inviati messaggi come il seguente a tutti gli indirizzi trovati sul disco:

Da: webmaster@trojaner-info.de

Soggetto: Trojaner-Info Newsletter <current date here>
Allegato: yawsetup.exe
Messaggio:
Hallo !

Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de.
Hier die Themen im Ueberblick:

1. YAW 2.0 - Unser Dialerwarner in neuer Version

************************************

1. YAW 2.0 - Unser Dialerwarner in neuer Version
Viele haben ihn und viele moegen ihn - unseren Dialerwarner YAW. YAW ist nun in einer brandneuen und stark erweiterten Version verfuegbar. Alle unsere Newsletterleser bekommen ihn kostenlos zusammen mit diesem Newsletter.
Also einfach die angehaengte Datei starten und YAW 2.0 installieren. Bei Fragen
steht Ihnen der Programmierer des bislang einzigartigen Programmes Andreas Haak
unter andreas@ants-online.de zur Verf?gung. Viel Spa??mit YAW!

<http://www.trojaner-info.de/dialer/yaw.shtml>

************************************

Das war die heutige Ausgabe mit den aktuellsten Trojaner-Info News. Wir bedanken uns fuer eure Aufmerksamkeit und wuenschen allen Lesern noch eine angenehme Woche.

Mit freundlichem Gruss

Thomas Tietz & Andreas Ebert
<http://www.trojaner-info.de>

************************************
Anzahl der Subscriber: 5.966
Durchschnittliche Besuchzahl/Tag: 4.488
Diese Mail ist kein Spam ! Diesen Newsletter hast du erhalten, da du in unserer Verteilerliste aufgenommen wurdest. Solltest du unseren Newsletter nicht selber abonniert haben, sondern eine andere Person ohne dein Wissen, kannst du diesen auf unseren Seiten wieder abbestellen. Oder sende uns einfach eine entsprechende E-Mail.
************************************

In questo modo, Yarner finge di essere uno strumento creato da un Andreas Haak, un programmatore noto per aver creato un tool anti-trojan e la mail viene spacciata per una newsletter proveniente da un sito web informativo
sui trojan; questo ha lo scopo di indurre gli utenti a ritenere che il contenuto della mail sia autentico e sicuro, quindi a eseguire l'allegato.

Yarner puo' avere effetti distruttivi e cancellare i dati del disco fisso dopo essersi propagato.

Symbolic riporta anche che F-Secure Anti-Virus rileva entrambe le varianti conosciute di Yarner con gli aggiornamenti pubblicati il 19-02-2002 (h. 13.16 ora italiana)